最終着弾点であるエンドポイントを守るには
エンドポイントを保護する必要性は言うまでもない。初期侵入→足場確立→感染拡大→情報窃取→暗号化といったサイバー攻撃の流れにおいて、「クラウドやネットワークのレイヤで守ることも大事だが、最終的に重要なデータが集約されているのは端末やサーバー、つまりエンドポイントは最終着弾点と言える」と今村氏。ここに対してしっかり対策をするのがエンドポイントセキュリティ製品となる。
エンドポイントセキュリティ製品は、「防御」に重点を置いたものと「検知・対応」に重点を置いたものの2つに大別できる。Cybereasonは「防御」ではアンチウイルスやNGAVを、「検知・対応」ではEDRやMDR(Managed Detection and Response)を展開している。
それぞれの技術についても説明した。
まず、アンチウイルスとNGAVの違いについて今村氏は、一般的なアンチウイルスは既知のマルウェアのシグネチャ(特徴的なパターン)を検出し、それに基づいてマルウェアを特定・ブロックするのに対し、NGAVは機械学習アルゴリズムなどを使用することで既知のマルウェアだけでなく、未知の脅威(モダンなマルウェアやファイルレス攻撃、悪意のあるドキュメントなど)にも対応できると説明する。そのためNGAVは、アンチウイルスをバイパスしようと複雑化されるツールやマルウェアの進化に対抗するためにも重要なソリューションであり、脅威が組織やシステムの内部に侵入する前にしっかりと食い止めることが組織のセキュリティを向上させるためには必要だと言う。
一方でEDRは、高度な攻撃・脅威の検知とインシデント対応に特化しており、不正通信や端末の中で行われる不審な挙動などのサイバー攻撃の兆候を追跡し、リアルタイムでアラートを発生させる。そのため、万が一セキュリティ製品の防御対策をすり抜けるマルウェアが端末内部に入ってきたとしても、マルウェアが実行されたユーザや端末情報、プロセスが読み込むDLLやバックグラウンドで動作したコマンドラインなどがしっかりと可視化されることで、発生した原因や影響を特定し、調査して迅速に対応することができる。
また、MDRは、EDRで検知するアラートに対して、被害を最小限に抑えるために脅威を監視するサービスである。Cybereasonでは、これまでもMDRを提供しながら数々の顧客を守ってきた多数の実績もある。
NGAVが提供する多層防御のセキュリティアプローチ
では、CybereasonのNGAV、EDRはどのような特徴を持つのだろうか。
NGAVでは、多層防御が特徴となる。アンチウイルスはシグネチャで既知のマルウェアに対して防御するが、CybereasonのNGAVではパターンマッチングだけでなく、AIによる解析、悪意あるドキュメントの実行防止、脆弱性を悪用するエクスプロイトの保護などマルウェアの振る舞いに基づいた防御の機能も備える。さらには、ランサムウェアの振る舞いを検知して防御する予測型ランサムウェア対策、暗号化されたファイルの自動復元といった機能も追加されており、モダンな攻撃やマルウェアからも顧客を守るべく、様々な防御・検知ロジックの開発に日々従事している。
「ここまで様々な機能を組み込んだNGAV製品はそう多くはないのでは。しっかり防御するためにどんな機能が必要かという議論は開発部隊に任せきりではなく、日本チームの中でも日々行われており、日本のお客様から出てくるニーズもしっかりと伝え、必要な機能追加が行われている」と今村氏は述べる。
